හැකර්වරුන් බොහෝ විට සූරාකෑම මත රඳා පවතින ආකාරය ගැන අපි නිතිපතා ලියන්නෙමු හඳුනා ගැනීම වළක්වා ගැනීමට. ඒවා වචනාර්ථයෙන් , සම්මත වින්ඩෝස් මෙවලම් භාවිතා කරමින්, එමගින් අනිෂ්ට ක්රියාකාරකම් හඳුනාගැනීම සඳහා ප්රති-වයිරස සහ අනෙකුත් උපයෝගිතා මගහැරීම. ආරක්ෂකයින් ලෙස අපට දැන් එවැනි දක්ෂ අනවසරයෙන් ඇතුළුවීමේ ක්රමවල අවාසනාවන්ත ප්රතිවිපාක සමඟ කටයුතු කිරීමට බල කෙරී ඇත: හොඳින් ස්ථානගත සේවකයෙකුට දත්ත රහසිගතව සොරකම් කිරීමට එම ප්රවේශයම භාවිතා කළ හැකිය (සමාගමේ බුද්ධිමය දේපල, ක්රෙඩිට් කාඩ් අංක). ඔහු ඉක්මන් නොවී සෙමින් හා නිශ්ශබ්දව වැඩ කරන්නේ නම්, එය අතිශයින් දුෂ්කර වනු ඇත - නමුත් ඔහු නිවැරදි ප්රවේශය සහ සුදුසු දේ භාවිතා කරන්නේ නම් තවමත් කළ හැකිය. , - එවැනි ක්රියාකාරකම් හඳුනා ගැනීමට.
අනෙක් අතට, ඕවල්ගේ 1984 න් පිටතට ව්යාපාරික පරිසරයක වැඩ කිරීමට කිසිවකුට අවශ්ය නොවන නිසා සේවකයින් යක්ෂාවේශ කිරීමට මට අවශ්ය නැත. වාසනාවකට මෙන්, අභ්යන්තරිකයින්ට ජීවිතය වඩාත් දුෂ්කර කළ හැකි ප්රායෝගික පියවර සහ ජීවිත හැක් කිරීම් ගණනාවක් තිබේ. අපි සලකා බලමු රහසිගත ප්රහාර ක්රම, යම් තාක්ෂණික පසුබිමක් ඇති සේවකයින් විසින් හැකර්වරුන් විසින් භාවිතා කරනු ලැබේ. තව ටිකක් ඉදිරියට අපි එවැනි අවදානම් අවම කිරීම සඳහා විකල්ප සාකච්ඡා කරනු ඇත - අපි තාක්ෂණික සහ ආයතනික විකල්ප දෙකම අධ්යයනය කරන්නෙමු.
PsExec හි ඇති වැරැද්ද කුමක්ද?
එඩ්වඩ් ස්නෝඩන්, හරි හෝ වැරදි හෝ, අභ්යන්තර දත්ත සොරකමට සමාන පදයක් වී ඇත. මාර්ගය වන විට, බැලීමට අමතක නොකරන්න යම් කීර්තියක් ලැබීමට සුදුසු වෙනත් අභ්යන්තරිකයින් ගැන. ස්නෝඩන් භාවිතා කළ ක්රම පිළිබඳව අවධාරණය කිරීම වටී එක් වැදගත් කරුණක් නම්, අපගේ දැනුමේ හැටියට ඔහු ස්ථාපනය කර නැත බාහිර අනිෂ්ට මෘදුකාංග නොමැත!
ඒ වෙනුවට, ස්නෝඩන් ටිකක් සමාජ ඉංජිනේරු විද්යාව භාවිතා කළ අතර මුරපද එකතු කිරීමට සහ අක්තපත්ර නිර්මාණය කිරීමට පද්ධති පරිපාලකයෙකු ලෙස ඔහුගේ තනතුර භාවිතා කළේය. කිසිවක් සංකීර්ණ නොවේ - කිසිවක් නැත , ප්රහාර හෝ .
ආයතනික සේවකයින් සෑම විටම ස්නෝඩන්ගේ අද්විතීය ස්ථානයේ නොසිටින නමුත්, හඳුනා ගත හැකි කිසිදු ද්වේෂසහගත ක්රියාකාරකමක නොයෙදීම සහ විශේෂයෙන්ම විය යුතු, දැනුවත් විය යුතු "තණ කෑමෙන් පැවැත්ම" යන සංකල්පයෙන් ඉගෙන ගත යුතු පාඩම් ගණනාවක් තිබේ. අක්තපත්ර භාවිතයේදී ප්රවේශම් වන්න. මෙම අදහස මතක තබා ගන්න.
සහ ඔහුගේ මස්සිනා අසංඛ්යාත පෙන්ටෙස්ටර්වරුන්, හැකර්වරුන් සහ සයිබර් ආරක්ෂණ බ්ලොග්කරුවන්ගේ සිත් ඇද බැඳ ඇත. සහ mimikatz සමඟ ඒකාබද්ධ වූ විට, psexec ප්රහාරකයන්ට පැහැදිලි පාඨ මුරපදය දැනගැනීමෙන් තොරව ජාලයක් තුළ ගමන් කිරීමට ඉඩ සලසයි.
Mimikatz LSASS ක්රියාවලියෙන් NTLM හැෂ් බාධා කර පසුව ටෝකනය හෝ අක්තපත්ර සම්මත කරයි - ඊනියා. "හැෂ් සමත් කරන්න" ප්රහාරය - psexec හි, ප්රහාරකයෙකුට වෙනත් සේවාදායකයකට ඇතුළු වීමට ඉඩ සලසයි තවත් එකක පරිශීලක. තවද නව සේවාදායකයක් වෙත එක් එක් ඊළඟ පියවර සමඟ, ප්රහාරකයා අමතර අක්තපත්ර එකතු කරයි, පවතින අන්තර්ගතයන් සෙවීමේදී එහි හැකියාවන් පරාසය පුළුල් කරයි.
මම මුලින්ම psexec සමඟ වැඩ කිරීමට පටන් ගත් විට එය මායාකාරී බවක් මට පෙනුනි - ස්තූතියි , psexec හි දක්ෂ සංවර්ධකයා - නමුත් මම ඔහුගේ ගැන ද දනිමි ඝෝෂාකාරී සංරචක. ඔහු කිසි විටෙකත් රහසිගත නොවේ!
psexec පිළිබඳ පළමු සිත්ගන්නා කරුණ නම් එය අතිශයින් සංකීර්ණ භාවිතා කිරීමයි SMB ජාල ගොනු ප්රොටෝකෝලය Microsoft වෙතින්. SMB භාවිතා කරමින්, psexec කුඩා මාරු කිරීම් ද්විමය ඉලක්ක පද්ධතියට ගොනු, ඒවා C:Windows ෆෝල්ඩරය තුළ තබයි.
ඊළඟට, psexec විසින් පිටපත් කරන ලද ද්විමය භාවිතා කරමින් වින්ඩෝස් සේවාවක් නිර්මාණය කර එය අතිශයින් "අනපේක්ෂිත" නාමය PSEXECSVC යටතේ ධාවනය කරයි. ඒ අතරම, දුරස්ථ යන්ත්රයක් නැරඹීමෙන් ඔබට මා කළ ආකාරයටම මේ සියල්ල දැක ගත හැකිය (පහත බලන්න).
Psexec හි ඇමතුම් කාඩ්පත: "PSEXECSVC" සේවාව. එය C:Windows ෆෝල්ඩරයේ SMB හරහා තැබූ ද්විමය ගොනුවක් ධාවනය කරයි.
අවසාන පියවර ලෙස, පිටපත් කරන ලද ද්විමය ගොනුව විවෘත වේ RPC සම්බන්ධතාවය ඉලක්ක සේවාදායකය වෙත සහ පසුව පාලන විධාන පිළිගනී (පෙරනිමියෙන් Windows cmd shell හරහා), ඒවා දියත් කර ආදානය සහ ප්රතිදානය ප්රහාරකයාගේ ගෘහ යන්ත්රයට හරවා යවයි. මෙම අවස්ථාවෙහිදී, ප්රහාරකයා මූලික විධාන රේඛාව දකී - ඔහු සෘජුවම සම්බන්ධ වී ඇත්නම් සමාන වේ.
සංරචක ගොඩක් සහ ඉතා ඝෝෂාකාරී ක්රියාවලියක්!
psexec හි සංකීර්ණ අභ්යන්තරය වසර කීපයකට පෙර මගේ පළමු පරීක්ෂණ වලදී මට ප්රහේලිකාවක් වූ පණිවිඩය පැහැදිලි කරයි: “PSEXECSVC ආරම්භ කිරීම...” විධාන විමසුම දිස්වීමට පෙර විරාමයකින් පසුව.
Impacket's Psexec ඇත්ත වශයෙන්ම තොප්පිය යටතේ සිදුවන්නේ කුමක්ද යන්න පෙන්වයි.
පුදුමයක් නොවේ: psexec හුඩ් යටතේ විශාල වැඩ කොටසක් කළා. ඔබ වඩාත් සවිස්තරාත්මක පැහැදිලි කිරීමක් සඳහා උනන්දුවක් දක්වන්නේ නම්, මෙතැනින් බලන්න අපූරු විස්තරයක්.
පැහැදිලිවම, පද්ධති පරිපාලන මෙවලමක් ලෙස භාවිතා කරන විට, එය විය මුල් අරමුණ psexec, මෙම සියලු වින්ඩෝස් යාන්ත්රණවල “ඝෝෂා කිරීම” සමඟ කිසිදු වරදක් නැත. කෙසේ වෙතත්, ප්රහාරකයෙකු සඳහා, psexec සංකූලතා ඇති කරන අතර, ස්නෝඩන් වැනි සුපරීක්ෂාකාරී සහ කපටි අභ්යන්තරිකයෙකුට, psexec හෝ ඒ හා සමාන උපයෝගිතාවක් ඉතා අවදානම් සහගත වනු ඇත.
ඊට පස්සේ එනවා Smbexec
SMB යනු සේවාදායකයන් අතර ලිපිගොනු මාරු කිරීමේ දක්ෂ හා රහසිගත ක්රමයක් වන අතර, හැකර්වරුන් සියවස් ගණනාවක් තිස්සේ SMB වෙත කෙලින්ම රිංගා ඇත. මම හිතන්නේ එය වටින්නේ නැති බව හැමෝම දැනටමත් දන්නවා SMB ports 445 සහ 139 අන්තර්ජාලයට නේද?
Defcon 2013 දී, Eric Millman () ඉදිරිපත් කරන ලදී , එවිට පෙන්ටෙස්ටර්වරුන්ට රහසිගත SMB අනවසරයෙන් ඇතුළුවීම උත්සාහ කළ හැකිය. මම සම්පූර්ණ කතාව දන්නේ නැහැ, නමුත් පසුව Impacket smbexec තවදුරටත් පිරිපහදු කළා. ඇත්ත වශයෙන්ම, මගේ පරීක්ෂණය සඳහා, මම පයිතන් හි Impacket වෙතින් ස්ක්රිප්ට් බාගත කළෙමි .
psexec මෙන් නොව smbexec මගහරියි හඳුනාගත හැකි ද්විමය ගොනුවක් ඉලක්ක යන්ත්රය වෙත මාරු කිරීම. ඒ වෙනුවට, උපයෝගීතාව තණබිම් සිට දියත් කිරීම හරහා සම්පූර්ණයෙන්ම ජීවත් වේ දේශීය වින්ඩෝස් විධාන රේඛාව.
එය කරන්නේ මෙයයි: එය ප්රහාරක යන්ත්රයෙන් SMB හරහා විශේෂ ආදාන ගොනුවකට විධානයක් ලබා දෙයි, පසුව ලිනක්ස් භාවිතා කරන්නන්ට හුරුපුරුදු යැයි පෙනෙන සංකීර්ණ විධාන රේඛාවක් (වින්ඩෝස් සේවාවක් වැනි) නිර්මාණය කර ධාවනය කරයි. කෙටියෙන් කිවහොත්: එය ස්වදේශීය Windows cmd කවචයක් දියත් කරයි, ප්රතිදානය වෙනත් ගොනුවකට හරවා යවයි, පසුව එය SMB හරහා ප්රහාරක යන්ත්රය වෙත යවයි.
මෙය තේරුම් ගැනීමට හොඳම ක්රමය නම් විධාන රේඛාව දෙස බැලීමයි, එය සිදුවීම් ලොගයෙන් මට අත් කර ගැනීමට හැකි විය (පහත බලන්න).
I/O යළි හරවා යැවීමට ඇති හොඳම ක්රමය මෙය නොවේද? මාර්ගය වන විට, සේවා නිර්මාණයට සිදුවීම් ID 7045 ඇත.
psexec වගේ, ඒකත් හැම වැඩක්ම කරන සේවාවක් නිර්මාණය කරනවා, නමුත් ඊට පස්සේ සේවාව ඉවත් කරන ලදි - එය විධානය ක්රියාත්මක කිරීමට එක් වරක් පමණක් භාවිතා කරන අතර පසුව අතුරුදහන් වේ! වින්දිතයෙකුගේ යන්ත්රය නිරීක්ෂණය කරන තොරතුරු ආරක්ෂක නිලධාරියෙකුට අනාවරණය කර ගැනීමට නොහැකි වනු ඇත පැහැදිලිය ප්රහාරයේ දර්ශක: ද්වේශසහගත ගොනුවක් දියත් කර නැත, ස්ථීර සේවාවක් ස්ථාපනය කර නොමැත, සහ දත්ත හුවමාරු කිරීමේ එකම මාධ්යය SMB වන බැවින් RPC භාවිතා කරන බවට සාක්ෂි නොමැත. දීප්තිමත්!
ප්රහාරකයාගේ පැත්තෙන්, විධානය යැවීම සහ ප්රතිචාරය ලැබීම අතර ප්රමාදයන් සමඟ “ව්යාජ කවචයක්” ඇත. නමුත් ප්රහාරකයෙකුට - අභ්යන්තරිකයෙකුට හෝ දැනටමත් අඩිපාරක් ඇති බාහිර හැකර්වරයෙකුට - රසවත් අන්තර්ගතයන් සෙවීම ආරම්භ කිරීමට මෙය ප්රමාණවත්ය.
ඉලක්ක යන්ත්රයේ සිට ප්රහාරක යන්ත්රය වෙත දත්ත ප්රතිදානය කිරීමට, එය භාවිතා වේ . ඔව් සම්බා තමයි , නමුත් Impacket මගින් පයිතන් ස්ක්රිප්ට් එකකට පරිවර්තනය කරන ලදී. ඇත්ත වශයෙන්ම, smbclient ඔබට SMB හරහා FTP මාරු කිරීම් රහසිගතව සත්කාරකත්වය ලබා දේ.
අපි පියවරක් පසුපසට ගෙන සේවකයාට මෙය කළ හැකි දේ ගැන සිතා බලමු. මගේ කල්පිත තත්ත්වය තුළ, බ්ලොග්කරුවෙකුට, මූල්ය විශ්ලේෂකයෙකුට හෝ ඉහළ වැටුප් ලබන ආරක්ෂක උපදේශකයෙකුට වැඩ සඳහා පුද්ගලික ලැප්ටොප් පරිගණකයක් භාවිතා කිරීමට අවසර ඇතැයි කියමු. කිසියම් ඉන්ද්රජාලික ක්රියාවලියක ප්රතිඵලයක් ලෙස, ඇය සමාගමට අමනාප වී "සියල්ල නරක අතට හැරේ." ලැප්ටොප් මෙහෙයුම් පද්ධතිය මත පදනම්ව, එය Impact වෙතින් Python අනුවාදය හෝ .exe ගොනුවක් ලෙස smbexec හෝ smbclient හි Windows අනුවාදය භාවිතා කරයි.
ස්නෝඩන් මෙන්, ඇය වෙනත් පරිශීලකයෙකුගේ මුරපදයක් ඇගේ උරහිස දෙස බැලීමෙන් සොයා ගනී, නැතහොත් ඇය වාසනාවන්ත වී මුරපදය සහිත පෙළ ගොනුවක් මත පැකිළෙයි. මෙම අක්තපත්රවල ආධාරයෙන් ඇය නව වරප්රසාද මට්ටමකින් පද්ධතිය වටා හෑරීමට පටන් ගනී.
DCC හැකර් කිරීම: අපට කිසිම "මෝඩ" Mimikatz අවශ්ය නොවේ
pentesting ගැන මගේ කලින් පෝස්ට් වල මම නිතරම mimikatz පාවිච්චි කළා. මෙය අක්තපත්ර බාධා කිරීම සඳහා විශිෂ්ට මෙවලමකි - NTLM හැෂ් සහ ලැප්ටොප් පරිගණක තුළ සඟවා ඇති පැහැදිලි පෙළ මුරපද පවා භාවිතා කිරීමට බලා සිටී.
කාලය වෙනස් වී ඇත. mimikatz හඳුනා ගැනීමට සහ අවහිර කිරීමට අධීක්ෂණ මෙවලම් වඩා හොඳ වී ඇත. හැෂ් (PtH) ප්රහාර සම්මත කිරීම හා සම්බන්ධ අවදානම් අවම කිරීමට තොරතුරු ආරක්ෂණ පරිපාලකයන්ට දැන් තවත් විකල්ප තිබේ.
ඉතින් mimikatz භාවිතා නොකර අමතර අක්තපත්ර එකතු කිරීමට දක්ෂ සේවකයෙකු කළ යුත්තේ කුමක්ද?
Impacket's kit හි උපයෝගිතා ලෙස හැඳින්වේ , වසම් අක්තපත්ර හැඹිලියෙන් අක්තපත්ර ලබා ගනී, නැතහොත් කෙටියෙන් DCC. මගේ වැටහීම නම් වසම් පරිශීලකයෙකු සේවාදායකයට ලොග් වී වසම් පාලකය නොමැති නම්, DCC මඟින් පරිශීලකයා සත්යාපනය කිරීමට සේවාදායකයට ඉඩ සලසයි. කෙසේ වෙතත්, රහස්ය ඩම්ප් ඔබට මෙම සියලු හෑෂ් තිබේ නම් ඒවා ඉවත් කිරීමට ඉඩ සලසයි.
DCC හෑෂ් වේ NTML හැෂ් නොවේ සහ ඔවුන්ගේ PtH ප්රහාරය සඳහා භාවිතා කළ නොහැක.
හොඳයි, ඔබට මුල් මුරපදය ලබා ගැනීමට ඒවා හැක් කිරීමට උත්සාහ කළ හැකිය. කෙසේ වෙතත්, මයික්රොසොෆ්ට් ඩීසීසී සමඟ වඩාත් දක්ෂ වී ඇති අතර ඩීසීසී හැෂ් ක්රැක් කිරීම අතිශයින් දුෂ්කර වී ඇත. ඔව් මට තියනවා , "ලෝකයේ වේගවත්ම මුරපද අනුමාන කරන්නා", නමුත් එය ඵලදායී ලෙස ක්රියාත්මක වීමට GPU එකක් අවශ්ය වේ.
ඒ වෙනුවට අපි ස්නෝඩන් මෙන් සිතන්නට උත්සාහ කරමු. සේවකයෙකුට මුහුණට මුහුණ සමාජ ඉංජිනේරු විද්යාව සිදු කළ හැකි අතර සමහර විට ඇයට බිඳ දැමීමට අවශ්ය මුරපදය පිළිබඳ යම් තොරතුරු සොයා ගත හැකිය. උදාහරණයක් ලෙස, පුද්ගලයාගේ සබැඳි ගිණුම කවදා හෝ හැක් කර ඇත්දැයි සොයා බලා කිසියම් හෝඩුවාවක් සඳහා ඔහුගේ පැහැදිලි පාඨ මුරපදය පරීක්ෂා කරන්න.
ඒ වගේම මම යන්න තීරණය කළ දර්ශනය මෙයයි. ඔහුගේ ප්රධානියා වන Cruella විවිධ වෙබ් සම්පත් මත කිහිප වතාවක්ම හැක් කර ඇති බව අභ්යන්තරිකයෙකුට දැනගන්නට ලැබුණි යැයි සිතමු. මෙම මුරපද කිහිපයක් විශ්ලේෂණය කිරීමෙන් පසු, Cruella බේස්බෝල් කණ්ඩායමේ නම "Yankees" ආකෘතියෙන් පසුව වත්මන් වර්ෂය - "Yankees2015" භාවිතා කිරීමට කැමති බව ඔහු තේරුම් ගනී.
ඔබ දැන් මෙය නිවසේදී ප්රතිනිෂ්පාදනය කිරීමට උත්සාහ කරන්නේ නම්, ඔබට කුඩා "C" බාගත කළ හැකිය. , DCC හැෂිං ඇල්ගොරිතම ක්රියාත්මක කරන අතර එය සම්පාදනය කරයි. , මාර්ගය වන විට, DCC සඳහා සහය එක් කළ බැවින් එය ද භාවිතා කළ හැක. අපි හිතමු අභ්යන්තරිකයෙකුට John the Ripper ඉගෙනීමට කරදර කිරීමට අවශ්ය නැති අතර පැරණි C කේතය මත "gcc" ධාවනය කිරීමට කැමති වේ.
අභ්යන්තරිකයෙකුගේ භූමිකාව මවා පාමින්, මම විවිධ සංයෝජන කිහිපයක් උත්සාහ කළ අතර අවසානයේ Cruella ගේ මුරපදය "Yankees2019" බව සොයා ගැනීමට හැකි විය (පහත බලන්න). මෙහෙයුම සම්පූර්ණයි!
ටිකක් සමාජ ඉංජිනේරු විද්යාව, පේන කීම සහ මෝල්ටෙගෝ පොකුරක් සහ ඔබ DCC හෑෂ් ක්රැක් කිරීමට හොඳින් ගමන් කරමින් සිටී.
අපි මෙතනින් ඉවර කරන්න යෝජනා කරනවා. අපි වෙනත් පළ කිරීම්වලින් මෙම මාතෘකාව වෙත ආපසු ගොස්, Impacket හි විශිෂ්ට උපයෝගිතා කට්ටලය මත ගොඩනඟමින්, ඊටත් වඩා මන්දගාමී සහ රහසිගත ප්රහාරක ක්රම දෙස බලමු.
මූලාශ්රය: www.habr.com